1 1. Objectif du document Le présent document vise à fournir aux

POLITIQUE RELATIVE AUX CONSULTATIONS DANS LE DOMAINE DE LA SUPERVISION
ET DE LA MISE EN APPLICATION
1. Objectif du document
Le présent document vise à fournir aux délégués à la protection des données (DPD) et
aux responsables du traitement (institutions et organes de l’UE (1)) des orientations
concernant les consultations du Contrôleur européen de la protection des données
(CEPD) dans le domaine de la Supervision et de la Mise en application. Il vise à
décrire le contexte juridique, à circonscrire le champ d’application des consultations
et à présenter certains aspects pratiques dont les DPD et les responsables du
traitement doivent tenir compte lorsqu’ils consultent le CEPD.
Les consultations auprès du CEPD au sujet de propositions de législation de l’Union
européenne (domaine stratégique), telles que précisées dans l’article 28, paragraphe 2,
du règlement, ne font pas partie du champ d’application du présent document. (2)
Toutes les références renvoient au règlement (CE) n° 45/2001 (3) («le règlement»).
2. Base juridique
Le CEPD peut rendre un avis au sujet de questions relatives à la protection des
données personnelles, soit en réponse à une demande émanant d’une institution ou
d’un organe concerné, soit de sa propre initiative. L’article 41 du règlement définit le
mandat du CEPD, au titre duquel il est, entre autres, chargé «de surveiller et d'assurer
l'application des dispositions du présent règlement» ainsi que «de conseiller les
(1)
Cela s’applique également aux entités interinstitutionnelles et sui generis qui établissent ces mesures.
(2)
Voir le document stratégique du CEPD «Le CEPD en tant que conseiller des institutions
communautaires à l'égard des propositions de législation et documents connexes», 18 mars 2005,
disponible sur:
http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Pap
ers/PolicyP/05-03-18_PP_EDPSadvisor_FR.pdf
(3)
Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel par les
institutions et organes communautaires et à la libre circulation de ces données, JO L 8/1, 12.1.2001.
1
institutions et organes communautaires et les personnes concernées pour toutes les
questions concernant le traitement des données à caractère personnel».
L’article 28, paragraphe 1, du règlement stipule que les institutions et organes de l’UE
doivent informer le CEPD lorsqu'ils élaborent des mesures administratives relatives
au traitement de données à caractère personnel. L’article 28, intitulé « Consultation »,
fait partie du chapitre II («Conditions générales de licéité des traitements de données à
caractère personnel»), section 9 («Contrôles préalables effectués par le Contrôleur
européen de la protection des données et obligation de coopérer»). En outre, l’article
46, point d) prévoit que le Contrôleur conseille les institutions et organes en
particulier avant l'élaboration par ces institutions et organes de règles internes
relatives à la protection des libertés et droits fondamentaux des personnes à l'égard du
traitement des données à caractère personnel. L’article 28, paragraphe 1, impose donc,
conjointement à l’article 46, point d), aux institutions et organes de l’UE d’informer le
CEPD en temps utile des mesures qui font partie de son domaine de compétence,
comme exposé plus avant ci-dessous, pour permettre au CEPD de fournir tous les
conseils qu’il pourrait juger nécessaires.
Qui plus est, l’article 46, point d) du règlement impose au CEPD le devoir de
«conseille[r] l'ensemble des institutions et organes communautaires, soit de sa propre
initiative, soit en réponse à une consultation pour toutes les questions concernant le
traitement de données à caractère personnel, en particulier avant l'élaboration par
ces institutions et organes de règles internes relatives à la protection des libertés et
droits fondamentaux des personnes à l'égard du traitement des données à caractère
personnel».
L’article 46, point d) permet donc aux institutions et organes de l’UE de consulter le
CEPD au sujet des mesures qui font partie de son domaine de compétence, et impose
au CEPD de fournir son avis en réponse à toute consultation en la matière.
Sous réserve des considérations pratiques décrites au point 4.1 ci-après, les
institutions et organes de l’UE sont donc encouragés à informer et consulter le CEPD.
3. Champ d’application
3.1.
Quelles sont les questions qui peuvent faire l’objet d’une consultation?
La nature des éventuelles consultations peut varier. Celles-ci peuvent notamment
concerner des questions particulières au sujet de la mise en application correcte du
règlement, ou des projets de mesures administratives que l’administration de l’UE
doit adopter.
Le terme «mesures administratives» doit être entendu comme une décision
(juridiquement contraignante) ou tout autre acte (qui n’est pas juridiquement
contraignant) de l’administration ayant une portée générale et concernant le traitement
de données à caractère personnel par l’institution ou l’organe concerné. Il pourra
s’agir entre autres de dispositions d’application du règlement (comme précisé dans
l’article 24, paragraphe 8, du règlement), ou de règles internes (au sens de l’article 46,
point d) du règlement) adoptées par l’administration concernant le traitement de
2
données à caractère personnel (par exemple l’utilisation du courriel, le suivi
électronique, l’archivage etc.).
Il convient d’observer que les consultations au sujet de «mesures administratives»
peuvent concerner toute question relative à la protection des données personnelles.
Contrairement à l’article 27, paragraphe 1, sur les contrôles préalables, lequel précise
que seuls les traitements susceptibles de présenter des risques particuliers au regard
des droits et libertés des personnes concernées doivent être mentionnés, l’article 28 ne
comprend aucune limitation concernant les consultations.
En ce qui concerne l’article 46, point d), le vocabulaire employé pour décrire le
champ d’application matériel du rôle de conseil du CEPD est très large («toutes les
questions concernant le traitement de données à caractère personnel»). Comme
mentionné ci-dessus, ce paragraphe précise en outre un cas particulier dans lequel le
CEPD devra faire part de ses recommandations: «avant l'élaboration par ces
institutions et organes de règles internes relatives à la protection des libertés et droits
fondamentaux des personnes à l'égard du traitement des données à caractère
personnel». Il s’agit là du fondement des conseils fournis dans les affaires liées à des
activités de traitement spécifiques ou des questions sur l’interprétation du règlement,
même si celles-ci ne sont pas relatives à une «mesure administrative».
3.2.
Qui peut consulter le CEPD ?
Des conseils peuvent être prodigués en réponse à une consultation émanant d’une
institution ou d’un organe de l’UE lui-même (le responsable du traitement) ou de son
DPD. Le CEPD peut aussi donner son avis de sa propre initiative.
4. Aspects pratiques
4.1.
Avant la consultation
Appliquer le principe de la responsabilité à la protection des données dans le cadre
du processus de prise de décision (4)
(4)
Voir le document stratégique du CEPD Contrôler et garantir le respect du règlement (CE)
n° 45/2001,
Bruxelles,
13
décembre
2010,
disponible
sur:
http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Pap
ers/PolicyP/10-12-13_PP_Compliance_FR.pdf . «Le présent document stratégique définit comment le
Contrôleur européen de la protection des données (CEPD) contrôle, mesure et garantit le respect du
règlement (CE) n° 45/2001 («le règlement»), et explique la nature des divers pouvoirs d'exécution, tout
en précisant quand et comment le CEPD les utilisera. (…) En outre, le CEPD tient à ce que les
institutions et organes adoptent une approche proactive envers cette responsabilité en adhérant à la
notion de «responsabilisation» (telle qu’élaborée récemment par le groupe de travail de l’article 29) et,
ce faisant, en encourageant la protection des données dans la pratique.»
3
Le principe de la responsabilité (5) vise à garantir que les responsables du traitement
sont en règle générale maîtres de la situation, étant bien placés dès le départ pour
s’assurer de la conformité au règlement du traitement des données à caractère
personnel et pour en donner la preuve. La responsabilisation impose aux responsables
du traitement de mettre en place des mécanismes internes ainsi que des systèmes de
contrôle qui garantissent la conformité et apportent les justifications nécessaires pour
la démontrer aux parties prenantes externes, y compris aux autorités de contrôle. (6) Ce
principe renforce le rôle des responsables du traitement et accroît leur responsabilité
tout au long du cycle de vie des informations.
Ainsi, lorsqu’une institution ou un organe élabore des mesures qui influent sur le droit
à la protection des données personnelles, il ou elle doit s’assurer avant leur adoption
qu’une attention suffisante est portée au respect de ses obligations en vertu du
règlement. L’un des moyens les plus efficaces à cette fin est d’associer d’entrée de jeu
le DPD qui donnera son avis. Les responsables du traitement doivent tenir compte du
fait que, conformément à l’article 24, paragraphe 1, point c), du règlement, le DPD est
chargé d’«assurer, d'une manière indépendante, l'application interne des dispositions
du présent règlement». En outre, l’annexe du règlement stipule que «1. Le délégué à
la protection des données peut faire, en vue d'améliorer concrètement la protection
des données, des recommandations à l'institution ou à l'organe communautaire qui l'a
désigné et conseiller ces derniers ainsi que le responsable du traitement concerné sur
des questions touchant à l'application des dispositions relatives à la protection des
données».
Dans un souci d’efficacité, les responsables du traitement doivent donc commencer
par demander l’avis d’expert de leur DPD en interne. Cette opinion devrait
normalement leur apporter une solution adéquate. Si le DPD n’est cependant pas à
même de leur répondre de manière satisfaisante, par exemple en cas d’affaires
complexes ou nouvelles, ce dernier ou les responsables du traitement eux-mêmes
devront consulter le CEPD.
Vérification des antécédents et établissement des faits
Le DPD et les institutions doivent vérifier si le CEPD s’est déjà prononcé au préalable
sur un sujet similaire ou analogue. Ils doivent en outre préparer une description claire
et complète du contexte factuel pertinent pour la consultation.
Complexité et évaluation de l’impact
(5)
Voir : Groupe de travail «Article 29» sur la protection des données, «Avis n° 3/2010 sur le principe
de la responsabilité», WP 173, adopté le 13 juillet 2010, disponible sur :
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_fr.pdf
(6)
Le principe de responsabilité est également inscrit dans l’article 22 de la proposition de règlement du
Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement
des données à caractère personnel et à la libre circulation de ces données (règlement général sur la
protection
des
données),
COM(2012)
11
final,
25.1.2012,
disponible
sur :
http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf
4
Le CEPD encourage les responsables du traitement à le consulter conformément aux
articles 28, paragraphe 1, et 46, point d) du règlement lorsque l’affaire présente: (a) un
certain caractère novateur ou une certaine complexité (qui font que l’institution ou le
DPD est sincèrement incertain de la marche à suivre), ou (b) un impact évident sur les
droits des personnes concernées (que ce soit en raison des risques inhérents aux
activités de traitement, ou en raison de l’étendue de la mesure envisagée, etc.).
Concernant le point (a), la consultation pourrait porter sur des questions
d’interprétation ou des affaires dans lesquelles il est difficile d’appliquer la règle à des
cas concrets (par exemple par manque d’antécédents ou en cas d’antécédents
contradictoires dans le domaine concerné, par manque de doctrine, par manque de
clarté de la définition de certains concepts inclus dans le règlement, en cas
d’évaluation de l’impact de nouvelles technologies sur les droits des personnes
concernées, etc.).
Pour ce qui est du point (b), la consultation pourrait concerner des questions touchant
l’ensemble du personnel, ou posant des risques considérables pour les droits et
libertés des personnes concernées (sans préjudice de l’article 27, paragraphes 1 et 2.
Notamment, même lorsqu’une activité de traitement a fait l’objet d’un contrôle
préalable, une question d’interprétation ou d’application de la loi peut voir le jour par
la suite, ce qui justifierait une consultation).
4.2.
Après la réception de la consultation
Analyse préliminaire et actions du CEPD
Une fois que le CEPD a reçu une consultation, il se livre à une analyse préliminaire
du dossier. Il est possible que des questions similaires fassent l’objet d’une analyse
dans le contexte d’un contrôle préalable, d’une autre consultation ou d’une enquête
effectuée de la propre initiative du CEPD. Ce dernier pourra alors décider de ne pas
procéder à la nouvelle consultation individuellement, ou de joindre les différentes
affaires. Selon la complexité de la consultation, il est possible que le CEPD ait besoin
de réclamer davantage d’informations écrites, d’organiser une réunion ou de procéder
à une visite pour établir les faits.
Il convient d’observer que le règlement n’impose aucun délai particulier de réponse à
la consultation. La réponse du CEPD devrait cependant être fournie dans un délai
raisonnable, en fonction des spécificités de la consultation. En règle générale, le
CEPD rend son avis dans les deux mois qui suivent la réception de la consultation. Ce
délai peut être suspendu jusqu'à ce que le CEPD ait obtenu les informations
complémentaires demandées.
La réponse du CEPD à la consultation
La réponse à la consultation est généralement sous forme d’avis et, en fonction de
l’affaire particulière, peut comprendre des recommandations. Le CEPD s’attendra à
recevoir un retour d’informations du responsable du traitement dans un délai fixé.
Une période de suivi sera alors mise en place. Le CEPD peut également se livrer à
5
une inspection pour vérifier si ces recommandations ont été mises en pratique ou si les
conseils prodigués ont été pris en considération par le responsable du traitement.
Communication
Le CEPD décidera normalement de publier sur son site Internet ses opinions en
réponse aux consultations, en fonction des critères suivants:
(a) la pertinence de la question pour les autres DPD, responsables du traitement et
personnes concernées;
(b) le caractère novateur de l’interprétation ou de la mise en application de la loi;
(c) l’impact des nouvelles technologies sur les droits des personnes concernées.
En outre, il est possible qu’une consultation ne soit pas publiée sur le site Internet à la
demande du responsable du traitement ou du DPD. Le responsable du traitement ou le
DPD devront à cet effet en faire explicitement la demande, en la justifiant clairement.
Le CEPD pourra alors, en fonction des caractéristiques spécifiques de l’affaire,
décider de ne pas publier tout ou partie de sa réponse ou de son opinion finale sur son
site Internet. Cette décision sera adoptée sans préjudice du fait que de telles opinions
pourront être divulguées sur demande et conformément au règlement (CE)
n° 1049/2001.
5. Conclusions
Le CEPD souligne que les règles de protection des données doivent être prises en
compte lors de l’élaboration de mesures administratives liées au traitement de
données à caractère personnel.
Le CEPD conseille aux responsables du traitement de se référer à leur DPD dès le
départ pour ces questions. Les consultations peuvent ensuite être renvoyées au CEPD
pour les cas complexes ou posant des risques considérables au regard des droits et
libertés des personnes concernées.
6